一、功能介绍
通过在Linux内核态采集数据,实时的检测识别服务器上的恶意行为,例如反弹shell、权限提升、带外攻击等黑客入侵行为,并及时告警提醒。
支持绝大部分内核版本、linux发行版。
现已支持自动编译内核文件,解决了大部分内核不兼容问题
二、使用方式
①打开堡塔入侵检测插件,点击【入侵检测开关】,即可开启入侵行为监测
②在【告警设置】配置接收告警信息平台,以便发现入侵行为,第一时间能收到通知并及时响应
③在插件【首页-告警内容】中点击【详情】,即可查看入侵行为的详细信息以及处理建议
④若某些正常行为被告警误报,可以点击【加白】,将该告警列入白名单
通过新增、修改、删除规则字段,来调整白名单,当下次匹配到加白规则的行为,则不会发送告警
⑥当入侵行为已被处理,可以点击【已处理】来删除该告警
三、入侵行为测试
1.socket型反弹shell
模拟黑客开启监听5566端口
被入侵主机进行反向连接
黑客主机接受连接并执行命令
堡塔入侵检测发现反弹shell连接并发送告警
根据【处理建议】执行命令,中断入侵行为
反弹shell进程已被杀死
